GitHub內部儲存庫遭未授權存取,官方稱客戶資料暫未受影響
事件概述
GitHub在社群平臺X證實,該公司正在調查其內部儲存庫遭未授權存取的事件。根據iThome報導,此事件起因疑為第三方應用程式存在弱點,導致部分GitHub儲存庫遭未經授權存取。
官方聲明
GitHub官方強調,目前尚無證據顯示其內部儲存庫以外的客戶資訊受到影響,包括客戶的企業、組織與儲存庫資料。
相關技術風險
- GitHub Actions 的 pull_request_target 功能雖便於跨倉庫測試,但存在高安全風險,開發者應盡可能避免混用不受信任的輸入與高權限操作。
- 公開的GitHub儲存庫資料若保留超過90天,可能被攻擊者讀取,進而取得敏感資訊如GITHUB_TOKEN及ACTIONS_RUNTIME_TOKEN,導致進一步入侵。
類似事件與背景
此事件與2025年3月發現的「大規模供應鏈攻擊」事件類似,當時約有2.3萬個GitHub程式碼庫遭入侵,被視為規模最大的一次供應鏈攻擊。
其他相關資訊
身分驗證管理公司SailPoint曾向美國證券交易委員會(SEC)提交8-K表單,透露其部分GitHub儲存庫出現未經授權存取的跡象,顯示類似事件可能在企業間頻繁發生。